Controlli difensivi nelle email del dipendente, condizioni di legittimità

---

Condividi l'articolo:

---

Sì a controlli anche tecnologici posti in essere dal datore di lavoro per tutelare il patrimonio aziendale o per evitare comportamenti illeciti qualora ne sussista un fondato sospetto.

In ogni caso, va assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, e le imprescindibili tutele della dignità e della riservatezza del lavoratore.

Il controllo, inoltre, deve riguardare dati acquisiti dopo l'insorgere del sospetto.

Controlli difensivi: quando possono dirsi legittimi?

Con sentenza n. 18168 del 26 giugno 2023, la Corte di cassazione è tornata sul tema dei controlli difensivi che possono essere effettuati dal datore di lavoro e della collegata ripartizione degli oneri di allegazione e prova.

Questo nell'ambito di un procedimento volto alla verifica della legittimità del licenziamento disciplinare che una Spa aveva intimato ad un dirigente d'azienda a seguito della contestazione di una condotta di insubordinazione e di violazione dei doveri di diligenza e fedeltà nonché dei generali principi di correttezza e buona fede.

Allo stesso, in particolare, era stato addebitato di avere intrattenuto rapporti e contatti con soggetti riferibili a realtà imprenditoriali in concorrenza.

Gli elementi di prova a suo carico erano stati raccolti a seguito di attività investigativa di controllo della posta elettronica aziendale (cd. digital forensics).

I controlli difensivi posti in essere erano stati ritenuti illegittimi dal Tribunale, per come anche poi confermato in sede di gravame.

La Corte d'appello, in particolare, aveva giudicato che non fossero state garantite la proporzionalità e le garanzie procedurali contro l'arbitrarietà del datore di lavoro: era mancata, innanzitutto, la giustificazione del monitoraggio.

La società si era quindi rivolta alla Cassazione, davanti alla quale aveva dedotto, ex adverso, la legittimità dei controlli difensivi compiuti.

La Suprema corte ha giudicato infondate tutte le relative doglianze.

Controlli datoriali di tipo difensivo: se c'è un sospetto di illecito

Nella decisione, gli Ermellini hanno richiamato i principi da ultimo enunciati dalla giurisprudenza di legittimità, circa la compatibilità dei controlli difensivi con la modifica dell'art. 4 dello Statuto dei lavoratori recata dall'art. 23 del D. Lgs. n. 151/2015.

In primo luogo, la Corte ha richiamato la distinzione tra:

• controlli a difesa del patrimonio aziendale, che riguardano tutti i dipendenti (o gruppi di dipendenti), nello svolgimento della loro prestazione di lavoro che li pone a contatto con tale patrimonio;
• controlli difensivi in senso stretto, diretti ad accertare specificamente condotte illecite ascrivibili, in base a concreti indizi, a singoli dipendenti, anche se questo si verifica durante la prestazione di lavoro.

Ebbene, i primi devono necessariamente essere realizzati nel rispetto delle previsioni dell'art. 4 dello Statuto dei lavoratori.

I secondi, anche se effettuati con strumenti tecnologici, si situano all'esterno del perimetro applicativo del medesimo articolo, non avendo ad oggetto la normale attività del lavoratore.

Posto che non hanno ad oggetto un'attività in senso tecnico del lavoratore, il controllo difensivo in senso stretto deve essere mirato ed attuato ex post, vale a dire a seguito del comportamento illecito di uno o più lavoratori del cui avvenuto compimento il datore abbia avuto il fondato sospetto: solo a partire da quel momento il datore può provvedere alla raccolta di informazioni utilizzabili.

Ma anche in presenza di un sospetto di attività illecita, occorrerà, nell'osservanza della disciplina a tutela della riservatezza del lavoratore, e, segnatamente, dell'art. 8 Cedu, assicurare un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali e le tutele della dignità e della riservatezza del lavoratore, con un contemperamento che non può prescindere dalle circostanze del caso concreto.

Controlli difensivi: onere di allegazione e prova

Nella vicenda esaminata, in cui la società ricorrente invocava la sussistenza di un controllo difensivo in senso stretto sul computer aziendale del dipendente, assumeva rilievo la verifica della corretta ripartizione degli oneri processuali di allegazione e prova in ordine agli elementi di fatto alla base del fondato sospetto legittimante tale tipologia di controlli.

In primo luogo, incombeva sul datore di lavoro l'onere di allegare e provare le specifiche circostanze che lo avevano indotto ad attivare il controllo tecnologico ex post.

Andava inoltre tenuto conto del più generale criterio legale ai sensi del quale grava sulla parte datoriale l'onere di dimostrare il complesso degli elementi giustificativi del licenziamento.

Tuttavia, la Corte d'appello aveva accertato che la società non aveva dedotto né provato alcunché in ordine ai motivi che avevano portato ad un'indagine così invasiva sul pc del dipendente.

I dati che ne erano emersi, quindi, andavano considerati come illegittimamente acquisiti ed erano, pertanto, inutilizzabili al fine di giustificare il licenziamento.

Controlli nel rispetto delle norme sulla Privacy

Per gli Ermellini, anche se per i controlli difensivi in senso stretto non opera la disciplina speciale dettata dall'art. 4 dello Statuto, ciò non significa che, laddove sia comunque riscontrabile un trattamento dei dati personali del lavoratore, non occorra rispettare la disciplina generale prevista dal Codice della privacy per la protezione di qualsiasi cittadino.

Nella specie, la Corte territoriale aveva concretamente operato un apprezzamento riferito alla natura e all'estensione della sorveglianza sul lavoratore e al conseguente grado di intrusione nella sua vita privata.

Aveva constatato, ciò posto, la mancanza di giustificazione del monitoraggio, nonché l'esistenza di un controllo che aveva riguardato indistintamente tutte le comunicazioni presenti nel pc aziendale in uso al dirigente, peraltro senza limiti di tempo.

Si era trattato di un'indagine invasiva, massiccia ed indiscriminata, che non risultava giustificata.

Senza contare che il lavoratore non era stato preventivamente informato della possibilità che le comunicazioni che effettuava sul pc aziendale avrebbero potuto essere monitorate né del carattere e della portata del monitoraggio o del livello di invasività del possibile controllo nella sua corrispondenza.